KR100740863B1 - Authentication method and system based on eap in wireless telecommunication system - Google Patents
Authentication method and system based on eap in wireless telecommunication system Download PDFInfo
- Publication number
- KR100740863B1 KR100740863B1 KR1020060019217A KR20060019217A KR100740863B1 KR 100740863 B1 KR100740863 B1 KR 100740863B1 KR 1020060019217 A KR1020060019217 A KR 1020060019217A KR 20060019217 A KR20060019217 A KR 20060019217A KR 100740863 B1 KR100740863 B1 KR 100740863B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- message
- base station
- session key
- master session
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Abstract
Description
도 1은 일반적인 무선통신 시스템을 나타낸 구성도이다.1 is a block diagram showing a general wireless communication system.
도 2는 본 발명에 따른 무선통신 시스템에서의 사용자 인증 시스템에 대한 일 실시예를 나타낸 구성도이다.2 is a block diagram showing an embodiment of a user authentication system in a wireless communication system according to the present invention.
도 3은 본 발명에 따른 무선통신 시스템에서의 사용자 인증 방법에 대한 일 실시예를 나타낸 흐름도이다.3 is a flowchart illustrating an embodiment of a user authentication method in a wireless communication system according to the present invention.
도 4는 도 3에 의한 메시지 전송과 처리방법을 나타낸 상세흐름도이다.4 is a detailed flowchart illustrating a message transmission and processing method according to FIG. 3.
도 5는 본 발명에 따른 무선통신 시스템에서의 사용자 인증 방법에 있어 재인증 요구에 따른 일 실시예를 나타낸 흐름도이다.5 is a flowchart illustrating an embodiment according to a reauthentication request in a user authentication method in a wireless communication system according to the present invention.
도 6은 도 5에 의한 메시지 전송과 처리방법을 나타낸 상세흐름도이다.6 is a detailed flowchart illustrating a message transmission and processing method according to FIG. 5.
도 7은 본 발명에 따른 무선통신 시스템에서의 사용자 인증 방법에 대한 또 다른 실시예를 나타낸 흐름도이다.7 is a flowchart illustrating still another embodiment of a user authentication method in a wireless communication system according to the present invention.
도 8은 본 발명에 의해 전송되는 메시지의 헤더에 대한 파라미터의 일 실시예를 나타낸 도면이다.8 illustrates an embodiment of a parameter for a header of a message transmitted by the present invention.
도 9는 도 8의 노드 아이디에 대한 파라미터의 일 실시예를 나타낸 도면이 다.FIG. 9 is a diagram illustrating an embodiment of a parameter for a node ID of FIG. 8.
도 10은 본 발명에 의해 전송되는 인증 요청 메시지에 대한 파라미터의 일 실시예를 나타낸 도면이다.10 is a diagram illustrating an embodiment of a parameter for an authentication request message sent by the present invention.
도 11은 본 발명에 의해 전송되는 인증 응답 메시지에 대한 파라미터의 일 실시예를 나타낸 도면이다.11 is a diagram illustrating an embodiment of a parameter for an authentication response message sent by the present invention.
도 12는 본 발명에 의해 전송되는 인증 명령 메시지에 대한 파라미터의 일 실시예를 나타낸 도면이다.12 is a diagram illustrating an embodiment of a parameter for an authentication command message transmitted by the present invention.
* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings
100 : 단말기 200 : 중계장치100: terminal 200: relay device
210 : 기지국 211 : 연계수단210: base station 211: linking means
220 : 제어국 221 : 저장수단220: control station 221: storage means
300 : 인증서버300: authentication server
본 발명은 무선통신 시스템에서의 확장된 인증 프로토콜 기반에 따른 사용자 인증 방법 및 시스템에 관한 것으로, 보다 상세하게는 휴대인터넷에서 단말기의 보안연계의 설정 및 유지를 위한 데이터를 송수신함에 있어서, 제어국의 데이터처리용량에 대한 부담을 최소화하여, 기지국과 제어국 사이의 원활한 데이터 전송 용량을 확보함으로써, 사용자가 휴대인터넷을 이용함에 있어서 최상의 서비스 품질을 제공할 수 있는 무선통신 시스템에서 확장된 인증 프로토콜 기반의 인증 방법 및 시스템에 관한 것이다.The present invention relates to a user authentication method and system based on an extended authentication protocol in a wireless communication system, and more particularly, in transmitting and receiving data for setting and maintaining a security association of a terminal in a portable Internet. By minimizing the burden on the data processing capacity, by ensuring a smooth data transmission capacity between the base station and the control station, based on the extended authentication protocol in the wireless communication system that can provide the best quality of service for users using the mobile Internet It relates to an authentication method and system.
또한, 메시지의 암호화여부 및 메시지의 무결성 검증 여부를 선택적으로 수행함으로써, 상기 제어국에서의 데이터 처리 부담을 줄일 수 있음은 물론, 메시지 전송 여부를 확인하기 위한 승인메시지의 요구를 선택적으로 함으로써, 불필요한 메시지의 전송을 방지할 수 있는 무선통신 시스템에서 확장된 인증 프로토콜 기반의 사용자 인증 방법 및 시스템에 관한 것이다.In addition, by selectively performing whether or not to encrypt the message and verifying the integrity of the message, it is possible to reduce the data processing burden at the control station, and optionally by requesting an approval message for confirming whether or not the message is transmitted. The present invention relates to an extended authentication protocol based user authentication method and system in a wireless communication system capable of preventing transmission of a message.
전자, 통신 기술이 발달함에 따라 유선통신망과 더불어 무선통신망(Wireless Network)을 이용한 다양한 통신서비스가 제공되고 있으며, 이러한 통신망을 통해 다양한 서비스를 이용하기 위해서는 서비스 사용자(또는 서비스 가입자)에 대한 적법성 여부의 판단을 필요로 하게 된다. 특히, 무선통신망은 정보 통신의 발달로 이동통신, 무선 인터넷 등 각 서비스별로 각각의 통신망을 형성하여 복잡한 망구조를 이루고 있으며, 통신 기술 진화로 인한 멀티미디어 서비스와 같은 다양한 서비스 제공, 이동성 보장과 더불어 보안의 중요성도 강조되고 있다. 즉, 무선 통신망을 이용하기 위해서는 사용자가 휴대한 단말기(핸드폰, PDA, 노트북 등) 및 상기 단말기를 이용하는 사용자에 대한 인증 절차를 필요로 하게 된다.With the development of electronic and communication technologies, various communication services are provided using a wired network and a wireless network, and in order to use various services through such a communication network, the legality of the service user (or service subscriber) is determined. It requires judgment. In particular, the wireless communication network forms a complicated network structure by forming each communication network for each service such as mobile communication and wireless internet due to the development of information communication, providing various services such as multimedia services due to the evolution of communication technology, and ensuring security along with mobility. The importance of is also emphasized. That is, in order to use a wireless communication network, an authentication procedure is required for a terminal (a mobile phone, a PDA, a notebook, etc.) carried by a user and a user using the terminal.
예를 들어 최근에 국내에서는, 사용자가 보행 또는 주행을 하게 되는 이동환경에서 고속으로 인터넷에 접속하여 필요한 정보를 이용할 수 있는 휴대인터넷 시스템을 개발하고 있으며, 이러한 휴대인터넷 시스템은 확장된 인증 프로토콜(Extensible Authentication Protocol : EAP)을 기반으로 하여 사용자에 대한 인증 을 수행하게 된다.For example, recently, in Korea, a mobile Internet system has been developed that enables users to access the Internet at high speed in a mobile environment where a user walks or runs, and uses the necessary information. Authentication Protocol (EAP) is used to authenticate users.
상기 휴대인터넷 시스템의 일반적인 구성은 도 1에 나타난 바와 같으며, 사용자가 자신이 휴대한 단말기(PSS : Portable Subscriber Station)(100)를 통해 무선인터넷 서비스를 받기 위해서는, 상기 단말기(100)가 중계장치(BS : Base Station)(200)로 인증을 요청하여 상기 단말기(100)가 인증되어야 하며, 상기 중계장치(200)는 상기 단말기(100)가 인증된 이후, 확장된 인증 프로토콜에 따라 상기 단말기(100) 및 인증서버(300)와 메시지를 주고 받으며 사용자에 대한 인증을 수행하게 된다. 여기서, 도 1에 나타난 네트워크(400)는 상기 중계장치(200)와 인증서버(300)가 데이터를 전송할 수 있는 유무선통신망을 말한다. 또한, 상기 중계장치(200)는 하나의 독립된 시스템으로 운용될 수 있으나, 바람직하게는 상기 단말기(100)와 무선통신을 하는 기지국(RAS : Radio Access System)(210)과, 상기 인증서버(300)와 데이터를 송수신하는 제어국(ACR : Access Control Router)(220)으로 구성된다.A general configuration of the portable Internet system is shown in FIG. 1, and in order for a user to receive a wireless Internet service through a portable subscriber station (PSS) 100, the
상기 확장된 인증 프로토콜에 따라 사용자의 인증을 수행함에 있어, 상기 사용자에 대한 인증이 허가되면, 상기 인증서버(300)로부터 인증허가 메시지와 함께 마스터 세션키(Master Session Key : MSK)가 상기 중계장치(200)의 제어국(220)으로 전송되며, 상기 제어국(220)은 전송된 마스터 세션키를 이용하여 허가키(Authorization Key : AK)와 전송 암호화키(Traffic Encryption Key : TEK)를 유도 생성하고, 이를 이용하여 상기 기지국 단말기(100)와의 보안연계를 설정 및 관리하게 된다.In the authentication of the user according to the extended authentication protocol, if the authentication of the user is permitted, a master session key (MSK) with the authentication permission message from the
여기서, 휴대인터넷 시스템의 인증, 권한검증 및 과금 처리를 위한 인증서버(300)의 프로토콜은 레디오스(RADIUS) 프로토콜과 다이메터(Diameter) 프로토콜 등이 적용될 수 있으나, 휴대인터넷 시스템에서는 로밍환경에 적합한 다이메터 프로토콜이 사용된다.Here, the protocol of the
상기와 같은 휴대인터넷 시스템의 사용자 인증에 있어서, 상기 단말기(100)와 상기 중계장치(200) 사이의 보안연계를 설정 및 유지하기 위해서는, 상기 인증서버(300)로부터 전송된 마스터 세션키를 이용하여, 상기 단말기(100)와 기지국(210) 및 기지국(210)과 제어국(220)간에 허가키와 전송 암호화키에 대한 메시지를 지속적으로 송수신해야 한다.In the user authentication of the portable Internet system, in order to establish and maintain a security association between the
이러한 단말기(100)와 기지국(210) 및 기지국(210)과 제어국(220)간의 메시지 송수신방법은, 상기 제어국(220)에서 마스터 세션키에 의한 허가키 및 전송 암호화키를 생성하게 되므로, 상기 제어국(220)의 데이터처리용량을 증가시키게 됨은 물론, 상기 기지국(210)과 제어국(220)간의 전송부하를 상승시키게 되며, 결과적으로 사용자가 휴대인터넷 시스템에 의해 다양한 서비스 및 컨텐츠를 이용함에 있어 데이터의 전송속도에 제한을 받게 되는 문제점이 있다.Since the message transmission / reception method between the
또한, 사용자의 증가에 따른 통신속도 유지 및 휴대인터넷 서비스의 품질 향상 등의 이유로 인해 상기 기지국(210)을 지속적으로 증설해야만 하는 경우, 상기 기지국(210)과 더불어 상기 제어국(220)을 추가로 증설해야 하는 문제점이 있다.In addition, when it is necessary to continuously expand the
따라서, 휴대인터넷의 사용자가 증가함에 따른 통신속도의 안정성 유지 및 휴대인터넷을 통해 제공되는 컨텐츠 및 서비스의 품질을 향상시키기 위해서는, 확 장된 인증 프로토콜을 기반으로 한 휴대인터넷 사용자의 인증방법에 대해 유연하고 확장이 쉬운 기술이 요구되고 있다.Therefore, in order to maintain the stability of communication speed and increase the quality of contents and services provided through the mobile internet as the users of the mobile internet increase, the authentication method of the mobile internet user based on the extended authentication protocol is flexible and flexible. Technology that is easy to scale is required.
본 발명은 전술한 바와 같은 문제점을 해결하기 위하여 창안된 것으로, 본 발명의 목적은 휴대인터넷에서, 단말기의 보안연계를 설정하고 유지하기 위한 허가키와 전송 암호화키의 유도 생성, 그리고 상기 허가키 및 전송 암호화키에 대한 메시지의 송수신을 기지국에서 수행하도록 한 무선통신 시스템에서 확장된 인증 프로토콜 기반의 사용자 인증 방법 및 시스템을 제공하는 것이다.The present invention was devised to solve the above problems, and an object of the present invention is to derive and generate an authorization key and a transmission encryption key for establishing and maintaining a security association of a terminal in a mobile Internet, and the authorization key and The present invention provides an extended authentication protocol based user authentication method and system in a wireless communication system for transmitting and receiving a message for a transmission encryption key at a base station.
본 발명의 다른 목적은 제어국을 증설하지 않고서도 기지국의 증설만으로도 휴대인터넷의 충분한 통신속도의 안정성 유지 및 휴대인터넷의 품질향상을 꾀할 수 있는 무선통신 시스템에서 확장된 인증 프로토콜 기반의 사용자 인증 방법 및 시스템을 제공하는 것이다.Another object of the present invention is to extend the authentication protocol based user authentication method in a wireless communication system that can maintain the stability of sufficient communication speed of the portable Internet and improve the quality of the portable Internet even without the addition of a control station. To provide a system.
상기 목적을 위하여, 본 발명에 따른 무선통신 시스템에서의 확장된 인증 프로토콜 기반에 따른 사용자 인증 방법은, 기지국이 단말기로부터 사용자에 대한 인증 절차 시작 요청을 받아, 제어국으로 상기 사용자에 대한 인증 절차 시작 요청을 전송하는 단계; 상기 기지국이 상기 제어국으로부터 사용자 식별자 정보의 전송을 요청 받아, 상기 단말기로 상기 사용자 식별자 정보를 요청하는 단계; 상기 기지국이 상기 단말기로부터 사용자의 식별자 정보를 전송 받아 상기 제어국으로 상기 사용자 식별자 정보를 이용하여 사용자의 인증을 요청하며, 상기 제어국은 인증서버로 확장된 인증 프로토콜에 따른 사용자의 인증을 요청하는 단계; 상기 제어국이 상기 인증서버로부터 확장된 인증 프로토콜에 따른 사용자의 인증 정보를 요청 받아 상기 기지국으로 요청하면, 상기 기지국은 상기 단말기로 상기 확장된 인증 프로토콜에 따른 사용자의 인증정보를 요청하는 단계; 상기 기지국이 상기 단말기로부터 상기 확장된 인증 프로토콜에 따른 사용자의 인증 정보를 전송 받아 상기 제어국으로 전송하면, 상기 제어국은 상기 인증서버로 상기 확장된 인증 프로토콜에 따른 사용자의 인증 정보를 전송하는 단계; 및 상기 사용자의 인증이 성공되면, 상기 제어국이 상기 인증서버로부터 인증 성공 메시지 및 마스터 세션키를 전송 받아 상기 기지국으로 전송하며, 상기 기지국은 상기 단말기로 인증 성공 메시지를 전송하는 단계를 포함하는 것을 특징으로 한다.For this purpose, in the user authentication method based on the extended authentication protocol in the wireless communication system according to the present invention, the base station receives a request for starting the authentication procedure for the user from the terminal, and starts the authentication procedure for the user to the control station Sending a request; Receiving, by the base station, requesting transmission of user identifier information from the control station, requesting the user identifier information from the terminal; The base station receives the user's identifier information from the terminal to request the user's authentication using the user identifier information to the control station, the control station to request the user's authentication according to the authentication protocol extended to the authentication server step; Requesting, by the control station, the authentication information of the user according to the extended authentication protocol from the authentication server to the base station, the base station requesting authentication information of the user according to the extended authentication protocol to the terminal; When the base station receives the authentication information of the user according to the extended authentication protocol from the terminal and transmits the authentication information to the control station, the control station transmitting the authentication information of the user according to the extended authentication protocol to the authentication server. ; And when the authentication of the user is successful, the control station receiving an authentication success message and a master session key from the authentication server and transmitting the authentication success message to the base station, wherein the base station transmits an authentication success message to the terminal. It features.
또한, 본 발명에 따른 무선통신 시스템에서의 확장된 인증 프로토콜 기반에 따른 사용자 인증을 위한 마스터 세션키 관리 방법은, 인증서버가 단말기의 사용자에 대한 인증을 허가하고, 그에 따른 마스터 세션키를 생성하여 중계장치의 제어국으로 전송하는 단계; 상기 제어국이 전송된 마스터 세션키를 저장하는 단계; 상기 제어국이 상기 저장된 마스터 세션키를 기지국으로 전송하는 단계; 및 상기 기지국이 전송된 마스터 세션키에 의해 상기 단말기와 보안연계를 설정하는 단계를 포함하는 것을 특징으로 한다.In addition, the master session key management method for user authentication based on the extended authentication protocol in the wireless communication system according to the present invention, the authentication server allows the authentication of the user of the terminal, and generates a master session key accordingly Transmitting to the control station of the relay device; Storing the master session key sent by the control station; The control station transmitting the stored master session key to a base station; And establishing a security association with the terminal by the master session key transmitted by the base station.
그리고, 상기 무선통신 시스템에서의 확장된 인증 프로토콜 기반에 따른 사용자 인증을 위한 마스터 세션키 관리 방법은, 상기 기지국이 초기화될 경우, 상기 기지국이 상기 제어국으로 마스터 세션키를 요청하는 단계; 상기 제어국이 상기 기지국의 요청에 따라 저장된 마스터 세션키를 상기 기지국으로 전송하는 단계; 및 상기 기지국이 전송된 마스터 세션키에 의해 상기 단말기와 보안연계를 재설정하는 단계를 더 포함하는 것이 바람직하다.The master session key management method for user authentication based on an extended authentication protocol in the wireless communication system may include: requesting, by the base station, a master session key from the control station when the base station is initialized; Transmitting, by the control station, the stored master session key to the base station at the request of the base station; And resetting the security association with the terminal by the master session key transmitted by the base station.
즉, 휴대인터넷에서, 단말기의 보안연계를 설정하고 유지하기 위한 허가키와 전송 암호화키의 유도 생성, 그리고 상기 허가키 및 전송 암호화키에 대한 메시지의 송수신을 기지국에서 수행하도록 함으로써, 마스터 세션키에 의해 허가키 및 전송 암호화키를 생성함으로써 발생되는 상기 제어국의 데이터처리용량에 대한 부담을 제거하고, 기지국과 제어국 사이의 원활한 데이터 전송 용량을 확보할 수 있어, 사용자가 휴대인터넷을 이용함에 있어서 최상의 서비스 품질을 제공할 수 있는 것이다.That is, in the portable Internet, the base station performs the generation and generation of an authorization key and a transmission encryption key for establishing and maintaining the security association of the terminal, and transmits and receives a message for the permission key and the transmission encryption key to the master session key. By eliminating the burden on the data processing capacity of the control station generated by generating the permission key and the transmission encryption key, it is possible to ensure a smooth data transmission capacity between the base station and the control station, so that the user It can provide the best quality of service.
한편, 본 발명에 따른 무선통신 시스템에서의 확장된 인증 프로토콜 기반에 따른 사용자 인증을 위한 마스터 세션키 관리 시스템은, 상기 사용자 인증을 요청하는 단말기; 상기 단말기의 사용자 인증에 대한 허가여부를 결정하고, 상기 사용자 인증이 허가되면 그에 따른 마스터 세션키를 전송하는 인증서버; 상기 인증서버로부터 전송되는 마스터 세션키를 전송받아 저장하고 상기 마스터 세션키를 전송하는 제어국; 및 상기 제어국으로부터 전송되는 마스터 세션키를 전송받아 허가키 및 전송 암호화키를 생성하고, 상기 생성된 허가키 및 전송 암호화키에 의해 상기 단말기와 보안연계를 설정하는 기지국을 포함하는 것을 특징으로 한다.On the other hand, the master session key management system for user authentication based on the extended authentication protocol in the wireless communication system according to the present invention, the terminal for requesting user authentication; An authentication server for determining whether to permit user authentication of the terminal and transmitting a master session key according to the user authentication being permitted; A control station receiving and storing the master session key transmitted from the authentication server and transmitting the master session key; And a base station configured to receive a master session key transmitted from the control station, generate an authorization key and a transmission encryption key, and establish a security association with the terminal by using the generated authorization key and transmission encryption key. .
이하에서는 첨부 도면 및 바람직한 실시예를 참조하여 본 발명을 상세히 설명한다. 참고로, 하기 설명에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략하였다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings and preferred embodiments. For reference, in the following description, detailed descriptions of well-known functions and configurations that may unnecessarily obscure the subject matter of the present invention are omitted.
도 2는 본 발명에 따른 휴대 인터넷의 사용자 인증 시스템에 대한 일 실시예를 나타낸 구성도로서, 사용자가 휴대하여 사용하는 단말기(100), 상기 단말기(100)와 보안연계를 설정하는 중계장치(200), 상기 단말기(100)의 사용자에 대한 인증을 위한 인증서버(300)를 포함하여 구성되며, 상기 중계장치(200)와 인증서버(300) 사이의 네트워크는 당업자의 요구에 따라 다양한 것을 적용할 수 있으므로 특별한 것에 한정하지 않는다.2 is a block diagram showing an embodiment of a user authentication system of the portable Internet according to the present invention, the
상기 단말기(100)는 사용자가 휴대인터넷을 이용하기 위해 휴대 및 사용하는 것으로, 핸드폰(Mobile Phone), PDA(Personal Digital Assistant), 노트북 등을 포함한다.The
상기 중계장치(200)는 상기 단말기(100)와 무선으로 통신하는 기지국(210)과, 상기 인증서버(300) 및 인터넷 망에 접속하기 위한 제어국(220)을 포함하여 구성되며, 상기 제어국(220)은 인증서버(300)로부터 전송되는 마스터 세션키를 저장하기 위한 저장수단(221)을 포함하여 구성되고, 상기 기지국(210)은 상기 제어국(220)으로부터 전송된 마스터 세션키와, 이에 의해 유도되어 생성되는 허가키 및 전송 암호화키에 의해 상기 단말기(100)와 보안연계를 설정 및 유지하는 연계수단(211)을 포함하여 구성된다. 여기서, 상기 연계수단(211)은 상기 마스터 세션키로부터 허가키 및 전송 암호화키를 생성하는 알고리즘을 포함하는 소프트웨어만을 추가하여 구현되거나, 상기 기지국(210)의 내부에 별도의 하드웨어를 구성하고, 상기 하드웨어에 상기 소프트웨어를 추가하여 구현할 수 있으며, 상기 저장수단(221)은 RAM, EPROM, EEPROM, FRAM 등 데이터의 읽기/쓰기가 가능한 것이면 다양한 것을 적 용할 수 있으며, 바람직하게는 비휘발성 메모리를 사용한다. 또한, 상기 기지국(210)에는 상기 마스터 세션키에 포함된 세션정보를 저장하는 저장수단(도시하지 않음)을 포함하여 구성되며, 상기 저장수단은 당업자의 요구에 따라 상기 연계수단(211)의 내부에 포함될 수도 있음은 당연하다.The
상기 인증서버(300)는 상기 단말기(100)의 사용자에 대한 인증을 수행하는 것으로, 상기 인증서버(300)에서 사용되는 프로토콜은 휴대인터넷의 로밍 환경에 적합한 다이메터 프로토콜을 사용하는 것이 바람직하다.The
여기서, 상기 단말기(100), 기지국(210), 제어국(220) 및 인증서버(300)는 데이터의 송수신을 위한 송수신수단(도시하지 않음)을 포함하여 구성됨은 당연하다.Here, it is obvious that the
상기와 같이 구성된 본 발명에 따른 휴대인터넷의 사용자 인증 시스템의 인증 방법에 대하여 도 3을 참조하여 보다 상세히 살펴보기로 한다.The authentication method of the user authentication system of the portable Internet according to the present invention configured as described above will be described in more detail with reference to FIG. 3.
사용자에 대한 인증요청 메시지가 상기 단말기(100)에서 상기 중계장치(200)의 기지국(210)으로 전송되면, 상기 기지국(210)은 상기 단말기(100)로 사용자의 식별자(Identifier) 정보를 요청하게 되며, 상기 단말기(100)는 상기 기지국(210)의 요청에 의해 사용자의 식별자 정보를 상기 기지국으로 전송한다. 상기 기지국(210)은 상기 단말기(100)로부터 전송된 사용자의 식별자 정보를 상기 제어국(220)으로 전송하며, 상기 중계장치(200)의 제어국(220)은 전송된 식별자 정보를 상기 인증서버(300)로 전송하여 사용자의 인증을 요청하게 된다(S110).When the authentication request message for the user is transmitted from the terminal 100 to the
상기 인증서버(300)는 상기 제어국(220)으로부터 요청된 사용자의 인증을 위 해 확장된 인증 프로토콜(EAP : Extensible Authentication Protocol)에 따라 사용자 인증에 필요한 정보를 요구하는 요구메시지를 출력하며, 상기 출력된 요구메시지는 상기 중계장치(200)를 거쳐 상기 단말기(100)로 전송된다. 상기 단말기(100)는 전송된 요구메시지에 따라 사용자 인증에 필요한 정보가 포함된 응답메시지를 출력하며, 상기 응답메시지는 상기 중계장치(200)를 거쳐 상기 인증서버(300)로 전송된다. 인증서버(300)는 전송된 응답메시지를 분석하여 상기 사용자에 대한 인증 여부를 결정하게 된다(S120).The
상기 인증서버(300)가 상기 사용자에 대한 인증을 허가하게 되면, 상기 인증서버(300)는 인증허가 메시지와 함께 허가된 사용자를 위한 마스터 세션키(Master Session Key : MSK)를 생성하여 상기 제어국(220)으로 전송하게 되며, 상기 제어국(220)은 전송된 마스터 세션키를 상기 저장수단(221)에 저장(S130)함과 동시에, 상기 인증허가 메시지와 상기 마스터 세션키를 상기 기지국(210)으로 전송하고(S140), 상기 기지국(210)은 전송된 인증허가 메시지를 상기 단말기(100)로 전송하여 인증을 완료하게 된다(S150).When the
그리고, 상기 기지국(210)의 연계수단(211)은 상기 마스터 세션키를 이용하여 허가키 및 전송 암호화키를 생성하고, 상기 생성된 허가키 및 전송 암호화키를 이용하여 상기 단말기(100)와의 보안연계를 설정하게 된다(S160).The linking
따라서, 상기 중계장치(200)의 제어국(220)은 상기 허가키 및 전송 암호화키의 유도생성에 따른 데이터 처리의 부담을 줄일 수 있으며, 상기 단말기(100)와의 보안연계의 설정 및 유지를 상기 기지국(210)에서 전담하게 되므로, 상기 기지국 (210)과 제어국(220)간의 통신라인은 상기 보안연계에 따른 통신부하가 감소되어 충분한 전송속도를 확보할 수 있게 되는 것이다.Therefore, the
상기와 같은 본 발명에 의한 휴대 인터넷의 사용자 인증 방법에 대하여 도 4를 참조하여 보다 상세히 설명하도록 한다.The user authentication method of the portable Internet according to the present invention as described above will be described in more detail with reference to FIG. 4.
먼저, 상기 단말기(100)와 기지국(210)간의 메시지 전송 프로토콜은 프라이버시 키 관리(Privacy Key Management : 이하, PKM이라 함) 프로토콜을 사용하고, 상기 제어국(220)과 인증서버(300)간의 메시지 전송 프로토콜은 다이메터(Diameter) 프로토콜을 사용한다.First, the message transmission protocol between the terminal 100 and the
상기 단말기(100)가 사용자의 인증을 위하여 인증절차시작메시지(EAP Start)가 포함된 PKM 인증 요청 메시지(PKM-REQ(EAP Start))를 상기 기지국(210)으로 전송하면, 상기 기지국(210)은 인증절차시작메시지가 포함된 인증 요청 메시지(MSG_AS_AUTH_REQ(EAP Start))를 상기 제어국(220)으로 전송한다(S111). 상기 제어국(220)은 사용자의 식별자 정보를 요구하는 인증 응답 메시지(MSG_AS_AUTH_RSP(EAP-REQ/Identity))를 상기 기지국(210)으로 전송하고, 상기 기지국(210)은 상기 식별자 정보 요구를 위한 PKM 인증 응답 메시지(PKM-RSP(EAP-REQ(ID)))를 상기 단말기(100)로 전송한다(S112). 상기 단말기(100)는 사용자의 식별자 정보가 포함된 PKM 인증 요청 메시지(PKM-REQ(EAP-RESP(ID:NAI)))를 상기 기지국(210)으로 전송하고, 상기 기지국(210)은 사용자의 식별자 정보가 포함된 인증 요청 메시지(MSG_AS_AUTH_REQ(EAP-RESP/Identity))를 상기 제어국(200)으로 전송하며, 상기 제어국(200)은 수신된 정보를 다이메터(Diameter) 메시지인 다이메터 인증 요청 메시지(Diameter-EAP-Request(EAP-RESP/Identity))로 변환하여 상기 인증서버(300)로 전송한다(S113). 여기서, 상기 다이메터 인증 요청 메시지에는 사용자의 식별자 정보가 포함됨은 당연하다. 상기 인증서버(300)는 서버에서 제공되는 확장된 인증 프로토콜(EAP)의 인증 방식에 따라 인증 절차를 수행하며, 상기 인증 절차에 따른 메시지 전송은 아래와 같다.When the terminal 100 transmits a PKM authentication request message (PKM-REQ (EAP Start)) including an authentication procedure start message (EAP Start) to the
상기 인증서버(300)는 확장된 인증 프로토콜의 인증 방식에 따른 다이메터 인증 응답 메시지(Diameter-EAP-Answer(EAP-REQ/Auth Method))를 상기 제어국(220)으로 전송하고, 상기 제어국(220)은 수신된 다이메터 메시지를 확장된 인증 프로토콜의 인증 방식에 따른 인증 응답 메시지(MSG_AS_AUTH_RSP(EAP-REQ/Auth Method))로 변환하여 기지국(210)으로 전송하며, 상기 기지국(210)은 확장된 인증 프로토콜의 인증 방식에 따른 PKM 인증 응답 메시지(PKM-RSP(EAP-REQ(Auth Method)))를 상기 단말기(100)로 전송한다(S121).The
상기 단말기(100)는 확장된 인증 프로토콜의 인증 방식에 따른 PKM 인증 요청 메시지(PKM-REQ(EAP-RESP(Auth Method)))를 상기 기지국(210)으로 전송하고, 상기 기지국(210)은 확장된 인증 프로토콜의 인증 방식에 따른 인증 요청 메시지(MSG_AS_AUTH_REQ(EAP-RESP/Auth Method))를 상기 제어국(220)으로 전송하며, 상기 제어국(220)은 확장된 인증 프로토콜의 인증 방식에 따른 다이메터 인증 요청 메시지(Diameter-EAP-Request(EAP-RESP/Auth Method))로 변환하여 상기 인증서버(300)로 전송한다(S122).The terminal 100 transmits a PKM authentication request message (PKM-REQ (EAP-RESP (Auth Method))) according to the authentication method of the extended authentication protocol to the
상기 확장된 인증 프로토콜에 의한 인증 절차가 성공적으로 종료되면, 상기 인증서버(300)는 인증 성공(EAP-SUESS) 메시지와 마스터 세션키를 포함하는 다이메터 인증 응답 메시지(Diameter-EAP-Answer(EAP-SECCESS, MSK))를 제어국(220)으로 전송하며(S131), 상기 제어국(220)은 전송된 마스터 세션키를 상기 저장수단(221)에 저장(S132)한 후, 상기 인증 성공 메시지와 마스터 세션키를 포함하는 인증 응답 메시지(MSG_AS_AUTH_RSP(EAP-SUCCESS, MSK))를 기지국(210)으로 전송하고(S141), 상기 기지국(210)은 인증 성공 메시지가 포함된 PKM 인증 응답 메시지(PKM-RSP(AEP-SUCCESS))를 상기 단말기(100)로 전송하여 인증을 완료한다(S151).When the authentication procedure by the extended authentication protocol is successfully completed, the
이후, 상기 기지국(210)은 보안연계(SA)를 위한 전송 암호화키 생성 과정을 통해 단말기(100)와 보안연계(SA)를 설정하기 위한 PKM 인증 응답 메시지(PKM-RSP(SA-TEK-Challenge))를 상기 단말기(100)로 전송하며(S161), 상기 단말기(100)는 요구되는 보안능력(Security Capabilities)에 대한 정보를 포함하는 PKM 인증 요청 메시지(PKM-REQ(SA-TEK-Request))를 기지국(210)으로 전송한다(S162). 상기 기지국(210)은 상기 전송 암호화키 생성 과정을 통해 생성 및 저장한 보안연계 디스크립터(Descriptor) 정보 중 상기 단말기(100)로부터 수신한 보안능력과 일치하는 정보를 검색하고, 상기 검색된 보안연계 디스크립터 정보가 포함된 PKM 인증 응답 메시지(PKM-RSP(SA-TEK-Response))를 상기 단말기(100)로 전송한다(S163). 상기 단말기(100)는 상기 보안연계 디스크립터 정보에 따라 전송 암호화키를 요구하는 PKM 인증 요청 메시지(PKM-REQ(Key-Request))를 상기 기지국(210)으로 전송하며(S164), 상기 기지국(210)은 상기 전송 암호화키에 대한 정보가 포함된 PKM 인증 응답 메시지(PKM-RSP(Key-Reply))를 상기 단말기(100)으로 전송함으로써, 보안연계 의 설정을 완료하게 된다(S165).Thereafter, the
따라서, 상기 중계장치(200)의 제어국(220)은 상기 마스터 세션키에 의한 허가키 및 전송 암호화키의 유도생성을 위한 데이터 처리의 부담을 줄일 수 있으며, 상기 단말기(100)와의 보안연계의 설정 및 유지를 상기 기지국(210)에서 전담하게 되므로, 상기 기지국(210)과 제어국(220)간의 통신라인은 상기 보안연계에 따른 메시지 전송을 하지 않기 때문에, 상기 기지국(210)과 제어국(220)간의 통신부하가 감소되어 충분한 전송속도를 확보할 수 있게 되는 것이다.Therefore, the
만약, 상기 인증서버(300)가 초기화될 경우에는 도 5에 나타난 바와 같이 상기 인증서버(300)는 상기 제어국(220)으로 재인증의 개시를 요구하게 된다. 즉, 상기 인증서버가 초기화될 경우, 상기 인증서버(300)는 사용자 인증의 재설정을 위하여 상기 제어국(220)으로 재인증을 요청하게 되며(S210), 상기 제어국(220)은 상기 재인증 요청에 대한 응답을 상기 인증서버(300)로 전송한다. 또한, 상기 제어국(220)은 상기 단말기(100)로 사용자의 식별자 정보를 요청한 후(S220), 상기 단말기(100)로부터 사용자의 식별자 정보가 전송되면, 상기 도 3에 나타난 단계 S102 내지 단계 S106을 재수행하여 사용자의 인증을 완료하고 상기 단말기와의 보안연계를 재설정하게 된다(S230).If the
상기와 같은 본 발명에 의한 휴대 인터넷의 사용자 재인증 방법에 대하여 도 6을 참조하여 보다 상세히 설명하도록 한다.The user reauthentication method of the portable Internet according to the present invention as described above will be described in more detail with reference to FIG. 6.
상기 인증서버(300)는 사용자에 대한 재인증이 필요할 경우, 재인증 요청 메시지(Re-Auth-Request)인 제1 메시지를 상기 제어국(220)으로 전송하며(S211), 상 기 제어국(220)은 상기 재인증 요청 메시지에 대한 응답으로, 재인증 응답 메시지(Re-Auth-Answer)를 상기 인증서버(300)로 전송하고, 상기 제어국(220)은 재인증을 위한 사용자의 식별자 정보를 요구하는 인증 명령 메시지(MSG_AS_AUTH_CMD(EAP-REQ/Identity))인 제2 메시지를 상기 기지국(210)으로 하고, 상기 기지국(210)은 상기 식별자 정보 요구를 위한 PKM 인증 응답 메시지(PKM-RSP(EAP-REQ(ID))를 상기 단말기(100)로 전송한다(S221). 상기 단말기(100)는 사용자의 식별자 정보가 포함된 PKM 인증 요청 메시지(PKM-REQ(EAP-RESP(ID:NAI)))를 상기 기지국(210)으로 전송하고, 상기 기지국(210)은 사용자의 식별자 정보가 포함된 인증 요청 메시지(MSG_AS_AUTH_REQ(EAP-RESP/Identity))인 제3 메시지를 상기 제어국(200)으로 전송하며, 상기 제어국(200)은 수신된 정보를 다이메터 인증 요청 메시지(Diameter-EAP-Request(EAP-RESP/Identity))인 제4 메시지로 변환하여 상기 인증서버(300)로 전송한다(S231). 이후 재인증 처리과정과 인증완료 및 보안연계 과정은 상기 도 3의 상세한 설명에 나타난 바와 같다. 그리고, 상기 인증서버(300)로부터 확장된 인증 프로토콜 기반의 인증 수행 결과를 포함하는 다이메터 인증 응답 메시지(Diameter-EAP-Answer(EAP-SECCESS, MSK))를 제5 메시지라 한다.When the
이상에서 상기 인증서버(300)가 초기화될 경우에 대하여 설명하였으나, 상기 인증서버(300)를 초기화시키는 원인은 다양할 수 있으며, 특정한 조건에 의해 상기 인증서버(300)가 상기 제어국(220)으로 재인증을 요구할 수도 있음은 당연하다.Although the
또한, 상기 제어국(220)에서 관리하는 인증유효시간이 경과된 경우에도, 상기 제어국(220)은 상기 기지국(210)으로 사용자의 식별자 정보를 요구하는 인증 명 령 메시지를 전송하여 재인증을 요청하게 된다.In addition, even when the authentication validity time managed by the
만약, 상기 기지국(210)이 파손, 고장 또는 교체 등의 이유로 인하여 상기 기지국(210)에 저장된 데이터가 초기화될 경우, 즉 상기 기지국(210)이 대기(Idle)상태에서 작동(Active)상태로 변화되어 기지국의 세션(Session)정보가 손실된 경우에는 도 7에 나타난 바와 같이, 상기 기지국(210)은 상기 제어국(220)으로 마스터 세션키를 요청(S310)하게 된다. 상기 제어국(220)은 상기 기지국(210)의 요청에 따라 상기 저장수단(221)에 저장된 마스터 세션키를 검색하여 상기 기지국(210)으로 전송(S320)하고, 상기 기지국(210)은 상기 제어국(220)으로부터 전송된 마스터 세션키를 이용하여 허가키 및 전송 암호화키를 유도 생성한 후, 상기 생성된 허가키 및 전송 암호화키를 이용하여 상기 단말기(100)와 보안연계를 재설정(S330)하게 된다.If the
즉, 확장된 인증 프로토콜에 따른 인증절차를 거치지 않고서도 상기 단말기(100)와의 보안연계를 설정할 수 있도록 함으로써, 상기 기지국(210)의 교체 등에 의한 초기화에 따른 상기 단말기(100)와의 보안연계의 설정이 신속하고 용이하게 이루어지게 된다.That is, by establishing a security association with the terminal 100 without going through the authentication process according to the extended authentication protocol, the establishment of a security association with the terminal 100 in accordance with the initialization by the replacement of the
여기서 상기 저장수단은 RAM, EPROM, EEPROM, FRAM 등 데이터의 읽기/쓰기가 가능한 것이면 다양한 것을 적용할 수 있다. 또한, 상기 저장수단(221)을 비휘발성 메모리를 사용함으로써, 상기 제어국(220)이 초기화될 경우, 상기 저장수단(221)에 저장된 마스터 세션키를 로딩하여 재설정함으로써, 상기 인증서버(300)와의 재인증을 위한 확장된 인증 프로토콜을 수행하지 않고서도, 상기 단말기(100)와 의 보안연계를 유지할 수 있다.Herein, the storage means may be variously applied as long as it can read / write data such as RAM, EPROM, EEPROM, and FRAM. In addition, when the
이하에서는 상기 기지국(210)과 제어국(220) 사이의 송수신 메시지에 대한 파라미터를 정의하고, 정의된 파라미터에 의한 작용효과를 살펴보기로 한다.Hereinafter, parameters for transmission and reception messages between the
도 8은 본 발명에 의해 전송되는 메시지의 헤더(MSG_Header)에 대한 파라미터의 일 실시예를 나타낸 것으로, 메시지를 구분하기 위한 메시지 식별자(Message Identifier), 메시지의 전체 길이를 나타내는 메시지 길이(Length), 메시지를 수신하는 시스템(또는 장치)을 구분하기 위한 수신측 노드 아이디, 메시지를 송신하는 시스템(또는 장치)을 구분하기 위한 송신측 노드 아이디 및 메시지 타입(Message Type)을 포함하여 구성되며, 상기 메시지 타입은 메시지의 암호화(Encryption) 여부를 나타내는 암호화 비트(ENC), 전송되는 메시지의 무결성 부호 유무를 나타내는 무결성 비트(MIC) 및 전송되는 메시지의 종류를 정의하기 위한 메시지 코드(Message Code)를 포함하여 구성된다.FIG. 8 illustrates an embodiment of a parameter for a header (MSG_Header) of a message transmitted by the present invention. The message identifier (ID) for distinguishing a message, a message length indicating the total length of a message, And a receiving node ID for identifying a system (or apparatus) receiving a message, a sending node ID for identifying a system (or apparatus) transmitting a message, and a message type. The type includes an encryption bit (ENC) indicating whether a message is encrypted, an integrity bit (MIC) indicating whether a message is transmitted or not, and a message code for defining a type of a message. It is composed.
특히, 상기 암호화 비트에 따라 메시지의 암호화/복호화(ENC bit=1인 경우) 여부를 선택적으로 수행하고, 상기 무결성 비트에 따라 메시지의 무결성 검증 기능의 수행 여부를 결정함으로써, 상대적으로 보안요구가 낮은 메시지는 별도의 처리과정을 수행하지 않고서도 전송하도록 할 수 있다. 따라서, 상기 제어국(220)의 데이터 처리의 부담을 더 줄일 수 있다. 더불어, 전송여부에 대한 확인의 중요도가 높은 메시지에 대해서만 메시지 수신 확인(Acknowledgement : ACK)을 요구함으로써, 불필요한 메시지의 전송을 방지할 수 있다.In particular, by selectively performing whether to encrypt / decrypt a message (when ENC bit = 1) according to the encryption bit, and determining whether to perform the integrity verification function of the message according to the integrity bit, the security requirements are relatively low. The message can be sent without performing any additional processing. Therefore, the burden on the data processing of the
도 9는 도 8의 메시지 헤더에 포함되는 노드 아이디에 대한 파라미터의 일 실시예를 나타낸 것으로, 시스템을 구분하기 위한 시스템 식별자(System Identifier), 상기 시스템이 기지국(210)인지 제어국(220)인지를 구분하기 위한 엔터티 타입(Entity Type) 및 인덱스값인 엔터티 인덱스(Entity Index)를 포함하여 구성된다.FIG. 9 illustrates an embodiment of a parameter for a node ID included in the message header of FIG. 8, a system identifier for identifying a system, and whether the system is a
도 10은 본 발명에 의해 기지국으로부터 제어국으로 전송되는 인증 요청 메시지에 대한 파라미터의 일 실시예를 나타낸 것으로, 도 8에 나타난 메시지의 헤더를 포함함은 물론, 단말의 맥 주소(MAC Address)인 ‘mssMacAddr’, 개인키 관리의 버전을 나타내는 ‘pkmVersionSupport’, 인증정책을 나타내는 ‘AuthorizationPolicySupport’, 확장된 인증 프로토콜의 인증 정보를 나타내는 ‘eapPayloadVOffset’을 포함하여 구성된다. 도 11은 본 발명에 의해 제어국으로부터 기지국으로 전송되는 인증 응답 메시지에 대한 파라미터의 일 실시예를 나타낸 것으로, 도 8에 나타난 메시지의 헤더를 포함하며, 인증의 시작, 진행, 성공 또는 실패여부를 나타내는 결과값(Result) 및 확장된 인증 프로토콜의 인증 정보를 나타내는 ‘eapPayloadVOffset’을 포함하여 구성된다. 도 12는 본 발명에 의해 제어국으로부터 기지국으로 전송되는 인증 명령 메시지에 대한 파라미터의 일 실시예를 나타낸 것으로, 도 8에 나타난 메시지의 헤더를 포함하며, 단말의 맥(MAC) 주소인 ‘mssMacAddr’ 및 확장된 인증 프로토콜의 인증 정보를 나타내는 ‘eapPayloadVOffset’을 포함하여 구성된다. 또한, 상기 인증 요청 메시지와 인증 응답 메시지 및 인증 명령 메시지는 데이터의 송수신을 위해 메시지 송신측 세션 아이디(Session ID)값인 ‘destUserId’와 메시지 수신측 세션 아이디값인 ‘ sourceUserId’를 포함한다.FIG. 10 illustrates an embodiment of a parameter for an authentication request message transmitted from a base station to a control station according to the present invention, and includes a header of the message shown in FIG. 8 and is a MAC address of a terminal. It consists of 'mssMacAddr', 'pkmVersionSupport' indicating the version of private key management, 'AuthorizationPolicySupport' indicating the authentication policy, and 'eapPayloadVOffset' indicating authentication information of the extended authentication protocol. FIG. 11 illustrates an embodiment of a parameter for an authentication response message transmitted from a control station to a base station according to the present invention, and includes a header of the message shown in FIG. 8 and indicates whether to start, proceed, succeed or fail authentication. It comprises a result value indicating (Result) and 'eapPayloadVOffset' indicating the authentication information of the extended authentication protocol. FIG. 12 illustrates an embodiment of a parameter for an authentication command message transmitted from a control station to a base station according to the present invention, and includes the header of the message shown in FIG. 8 and includes 'mssMacAddr', which is a MAC address of a terminal. And 'eapPayloadVOffset' indicating authentication information of the extended authentication protocol. The authentication request message, the authentication response message, and the authentication command message include 'destUserId', which is a message sending session ID, and 'sourceUserId', which is a message receiving session ID.
이러한 메시지의 파라미터는 프라이버시 키 관리(Privacy Key Management : PKM) 프로토콜 및 다이메터(Diameter) 프로토콜을 변형하지 않으면서도 충분한 호환성을 갖도록 구성되는 것이며, 본 발명의 목적 및 상세한 설명의 기술적 요지를 벗어나지 않는 범위에서 변형되는 사용자 인증 방법 또는 시스템에 따라 대응되어 변형될 수 있음은 당연하다.The parameters of such a message are configured to have sufficient compatibility without modifying the Privacy Key Management (PKM) protocol and the Diameter protocol, and do not depart from the technical gist of the object and detailed description of the present invention. Of course, it can be modified according to the user authentication method or system that is modified in.
지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있으므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다.Although the present invention has been described in detail with reference to the preferred embodiments, those skilled in the art to which the present invention pertains can implement the present invention in other specific forms without changing the technical spirit or essential features, The examples are to be understood in all respects as illustrative and not restrictive.
그리고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 특정되는 것이며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.In addition, the scope of the present invention is specified by the appended claims rather than the detailed description, and all changes or modifications derived from the meaning and scope of the claims and their equivalent concepts are included in the scope of the present invention. Should be interpreted as
본 발명에 따르면, 무선 통신 시스템에서 이동 단말기가 네트워크 서비스를제공 받기 위하여 망 구성요소들간의 연동을 통해 사용자 인증을 수행하는 데 있어서, 기존의 인증 프로토콜의 변형 없이 확장된 인증 프로토콜(EAP) 기반의 인증 수행이 가능하도록 하고, 제어국의 데이터처리용량에 대한 부담을 최소화하여, 기지 국과 제어국 사이의 원활한 데이터 전송 용량 확보할 수 있는 효과를 가진다.According to the present invention, in the wireless communication system in the mobile terminal to perform the user authentication through the interworking between the network components to receive the network service, based on the extended authentication protocol (EAP) without modification of the existing authentication protocol It is possible to perform authentication, and to minimize the burden on the data processing capacity of the control station, it has the effect of ensuring a smooth data transmission capacity between the base station and the control station.
또한, 본 발명에 따르면, 기지국을 증설하더라도 추가적인 제어국의 증설을 필요로 하지 않기 때문에, 기지국 증설의 용이성이 향상됨은 물론 증설비용의 절감을 얻을 수 있는 효과를 가진다.In addition, according to the present invention, since the additional control station is not required even if the base station is expanded, the ease of base station expansion is improved and the savings for the expansion facility can be obtained.
또한, 본 발명에 따르면, 기지국의 교체 또는 초기화에 따른 단말기와의 보안연계의 설정이 신속하고 용이하게 이루어지게 되는 효과를 가진다.In addition, according to the present invention, it is possible to quickly and easily set up the security association with the terminal according to the replacement or initialization of the base station.
또한, 본 발명에 따르면, 제어국의 초기화에 따른 인증서버와의 재인증을 위한 EAP를 수행하지 않고서도, 단말기와의 보안연계를 유지할 수 있게 되는 효과를 가진다.In addition, according to the present invention, the security association with the terminal can be maintained without performing the EAP for re-authentication with the authentication server according to the initialization of the control station.
또한, 본 발명에 따르면, 메시지의 암호화여부 및 메시지의 무결성 검증 여부를 선택적으로 수행함으로써, 데이터 처리의 부담을 더 줄일 수 있음은 물론, 메시지 전송 여부를 확인하기 위한 승인메시지의 요구를 선택적으로 함으로써, 불필요한 메시지의 전송을 방지하는 효과를 가진다.In addition, according to the present invention, by selectively performing whether or not to encrypt the message and whether or not to verify the integrity of the message, it is possible to further reduce the burden of data processing, as well as by selectively requesting the approval message to confirm whether the message is sent or not. This has the effect of preventing the transmission of unnecessary messages.
Claims (38)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060019217A KR100740863B1 (en) | 2006-02-28 | 2006-02-28 | Authentication method and system based on eap in wireless telecommunication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060019217A KR100740863B1 (en) | 2006-02-28 | 2006-02-28 | Authentication method and system based on eap in wireless telecommunication system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100740863B1 true KR100740863B1 (en) | 2007-07-19 |
Family
ID=38499044
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060019217A KR100740863B1 (en) | 2006-02-28 | 2006-02-28 | Authentication method and system based on eap in wireless telecommunication system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100740863B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009070453A1 (en) * | 2007-11-26 | 2009-06-04 | Motorola, Inc. | Method and apparatus for performing key management and key distribution in wireless networks |
WO2010078172A2 (en) * | 2008-12-31 | 2010-07-08 | Intel Corporation | Optimizing security bits in a media access control (mac) header |
KR100983796B1 (en) * | 2007-09-04 | 2010-09-27 | 인더스트리얼 테크놀로지 리서치 인스티튜트 | Methods and devices for establishing security associations and performing handoff authentication in communication systems |
KR101702532B1 (en) * | 2015-10-23 | 2017-02-03 | 영남대학교 산학협력단 | Wireless access point device and wireless communication method thereof |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1414214A2 (en) * | 2002-10-21 | 2004-04-28 | Microsoft Corporation | Method and system for automatic client authentication in a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols |
KR20050041864A (en) * | 2003-10-31 | 2005-05-04 | 한국전자통신연구원 | Method for authenticating subscriber station in wireless portable internet system and protocol configuration method thereof, and apparatus thereof |
KR20050050795A (en) * | 2003-11-26 | 2005-06-01 | 삼성전자주식회사 | A method for an user authorization and a key distribution in a high-speed portable internet system |
KR20050064717A (en) * | 2003-12-24 | 2005-06-29 | 삼성전자주식회사 | Ap operating method on authorization and authorization failure in personal internet system |
-
2006
- 2006-02-28 KR KR1020060019217A patent/KR100740863B1/en not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1414214A2 (en) * | 2002-10-21 | 2004-04-28 | Microsoft Corporation | Method and system for automatic client authentication in a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols |
KR20050041864A (en) * | 2003-10-31 | 2005-05-04 | 한국전자통신연구원 | Method for authenticating subscriber station in wireless portable internet system and protocol configuration method thereof, and apparatus thereof |
KR20050050795A (en) * | 2003-11-26 | 2005-06-01 | 삼성전자주식회사 | A method for an user authorization and a key distribution in a high-speed portable internet system |
KR20050064717A (en) * | 2003-12-24 | 2005-06-29 | 삼성전자주식회사 | Ap operating method on authorization and authorization failure in personal internet system |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100983796B1 (en) * | 2007-09-04 | 2010-09-27 | 인더스트리얼 테크놀로지 리서치 인스티튜트 | Methods and devices for establishing security associations and performing handoff authentication in communication systems |
WO2009070453A1 (en) * | 2007-11-26 | 2009-06-04 | Motorola, Inc. | Method and apparatus for performing key management and key distribution in wireless networks |
WO2010078172A2 (en) * | 2008-12-31 | 2010-07-08 | Intel Corporation | Optimizing security bits in a media access control (mac) header |
WO2010078172A3 (en) * | 2008-12-31 | 2010-09-30 | Intel Corporation | Optimizing security bits in a media access control (mac) header |
US9270457B2 (en) | 2008-12-31 | 2016-02-23 | Intel Corporation | Optimizing security bits in a media access control (MAC) header |
KR101702532B1 (en) * | 2015-10-23 | 2017-02-03 | 영남대학교 산학협력단 | Wireless access point device and wireless communication method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100704675B1 (en) | authentication method and key generating method in wireless portable internet system | |
KR100729105B1 (en) | Apparatus And Method For Processing EAP-AKA Authentication In The non-USIM Terminal | |
US8140845B2 (en) | Scheme for authentication and dynamic key exchange | |
KR100770928B1 (en) | Authentication system and method thereofin a communication system | |
CN101213784B (en) | Method for refreshing a pairwise master key | |
KR100759489B1 (en) | Method and appratus for security of ip security tunnel using public key infrastructure in a mobile communication network | |
US8397071B2 (en) | Generation method and update method of authorization key for mobile communication | |
US7197763B2 (en) | Authentication in a communication system | |
US8474020B2 (en) | User authentication method, wireless communication apparatus, base station, and account management apparatus | |
KR101706117B1 (en) | Apparatus and method for other portable terminal authentication in portable terminal | |
BRPI0212814B1 (en) | METHOD FOR AUTHENTICING THE USER OF A TERMINAL, AUTHENTICATION SYSTEM, USER RIGHTS VERIFICATION DEVICE, AND | |
US20030014646A1 (en) | Scheme for authentication and dynamic key exchange | |
US20090100262A1 (en) | Apparatus and method for detecting duplication of portable subscriber station in portable internet system | |
KR20060123345A (en) | System, method, and devices for authentication in a wireless local area network(wlan) | |
JP2008529440A (en) | Wireless network system and communication method using the same | |
KR20120091635A (en) | Authentication method and apparatus in wireless communication system | |
WO2019051776A1 (en) | Key transmission method and device | |
KR101655264B1 (en) | Method and system for authenticating in communication system | |
KR20080050971A (en) | Authentication management method for roaming in heterogeneous wireless network link system | |
KR100740863B1 (en) | Authentication method and system based on eap in wireless telecommunication system | |
US8327140B2 (en) | System and method for authentication in wireless networks by means of one-time passwords | |
CN109561431B (en) | WLAN access control system and method based on multi-password identity authentication | |
CN109818903B (en) | Data transmission method, system, device and computer readable storage medium | |
KR100879981B1 (en) | Security Method for Initial Network Entry Process in the Wimax Network and System Thereof | |
WO2019024937A1 (en) | Key negotiation method, apparatus and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |